بررسی دقیق هک ۱۰۰ میلیون دلاری نوبیتکس

اولین واکنش نوبیتکس بعد از وقوع حادثه امنیتی، امن‌سازی دارایی و تخلیه کیف‌پول‌های گرم بوده است

هک نوبیتکس یکی از اتفاقات بحث برانگیز در روزهای جنگ ایران و اسرائیل بود که طیف وسیعی از اقشار مختلف را درگیر کرد. در جریان این حمله سایبری ۱۰۰ میلیون دلار از دارایی رمزارزی این صرافی به سرقت رفت و سوزانده شد. پلتفرم نوبیتکس چند روز در دسترس نبود اما بعد موفق به بازگشت شد و مسئولیت جبران خسارت کاربران را برعهده گرفت. اما در مورد این حادثه امنیتی، اینکه چطور رخ داد و احتمال تکرار آن وجود دارد هنوز پرسش‌هایی وجود دارد که در این گزارش به آنها می‌پردازیم. 

اصل ماجرا چه بود؟ 

صبح روز ۲۸ خرداد ۱۴۰۴ حادثه‌ بی‌سابقه‌ای برای یکی از پلتفرم‌‌های رمزارزی در ایران رخ داد؛ نوبیتکس مورد حمله سایبری یک گروه هکری قرار گرفت و حدود یکصد میلیون دلار رمزارز از دارایی این شرکت به سرقت رفت. اتفاقی شوکه‌کننده که در ساعات آغازین ششمین روز از حمله اسرائیل به ایران رخ داد؛ درحالی‌که آسمان تهران هدف حملات بی‌امان موشک و جنگنده‌ها بود. نوبیتکس اما توانست در کمتر از ۱۰ روز، دسترسی کاربران به دارایی‌هایشان را ممکن کند مسئولیت جبران خسارت را نیز بر عهده بگیرد. این در حالی است که بر اساس اظهارات مدیرعامل نوبیتکس، هیچ نهاد یا ارگانی حمایتی از آنها نکرد.

وضعیت بازار رمزارز پیش از حمله به نوبیتکس

حادثه امنیتی برای نوبیتکس در شرایطی رخ داد که کل ایران درگیر یک بحران بزرگ بود. حمله نظامی اسرائیل از بامداد ۲۳ خرداد با یک غافلگیری رقم خورد. تهدید جنگ بسیاری از شهروندان را مجبور به خروج از شهر کرد. اگر به روزهای ابتدایی جنگ بازگردیم، می‌بینیم نوبیتکس در آن روزها در چند نوبت اطلاعیه منتشر کرد که ترجیع‌بند آنها، دعوت از کاربران برای حفظ آرامش و پرهیز از معاملات هیجانی یا اطلاع‌رسانی درباره محدودیت فعالیت بازار تتر به درخواست بانک مرکزی بود. تصمیمی که البته در مورد همه صرافی‌های رمزارز اعمال شد.

یک مشکل حادتر هم اختلال در دسترسی به اینترنت بین‌الملل بود. شرکت‌های رمزارزی برای مدیریت بازارها و ارائه سرویس، به اینترنت جهانی و اتصال به شبکه‌های بلاکچین نیاز دارند. امیرحسین راد مدیرعامل نوبیتکس در توضیح این شرایط می‌گوید: «اختلال اینترنت در شرایط جنگ اما ارائه خدمات به کاربران را هم دشوار کرده بود.» در عین حال بسیاری از شهروندان برای مدیریت معیشت خود به مشکل خوردند و به سرمایه‌های خُرد خود که روی بازارهایی مثل رمزارز سرمایه‌گذاری کردند نیاز داشتند.

حمله به دو بانک بزرگ ایران یعنی سپه و پاسارگاد هم دسترسی به بخشی از سپرده‌های ریالی بعضی شهروندان را غیرممکن کرده بود. این پرتره‌ای از حال و روز کسب‌وکارهای رمزارزی مثل نوبیتکس در روزهای قبل از هک است.

حمله چطور اتفاق افتاد؟

صبح روز چهارشنبه ۲۸ خرداد گزارش‌های پراکنده‌ای از یک پیام مشکوک روی گوشی‌ موبایل کاربران نوبیتکس منتشر شد که از آنها می‌خواست دارایی خود را از این پلتفرم خارج کنند. قبل از اینکه بازار شایعات داغ شود، نوبیتکس با انتشار یک اطلاعیه تایید کرد که مورد حمله سایبری قرار گرفته است. این اطلاعیه پیش از ساعت ۱۰ صبح و در زمانی منتشر شد که گروه هکری در حال دستبرد زدن به کیف‌پول‌های گرم نوبیتکس بود. نوبیتکس از همان اطلاعیه اول مسئولیت جبران خسارات را برعهده گرفت و تا حدودی از نگرانی کاربران کم کرد. در طول روز اول، دو اطلاعیه رسمی دیگر هم از نوبیتکس منتشر شد. سایت و اپلیکیشن نوبیتکس از دسترس خارج شده و راهی به‌جز شبکه‌‌های اجتماعی و رسانه‌ها برای اطلاع‌رسانی وجود نداشت. در این شرایط، نوبیتکس برای رفع دغدغه کاربران برای اولین‌بار پشتیبانی حضوری را هم راه‌اندازی کرد.

اینکه از نظر فنی چه اتفاقی برای نوبیتکس افتاد، موضوع پیچیده‌ای است. این‌طور که مدیران ارشد فنی نوبیتکس تاکنون توضیح دادند، این نفوذ طی یک عملیات ترکیبی نرم‌افزاری و سخت‌افزاری صورت گرفته است. گروه هکری حدود ۱۰۰ میلیون دلار دارایی رمزارزی را سرقت و به کیف‌پولی منتقل کرد که کلید خصوصی ندارد. یعنی عملاً این دارایی رمزارزی سوزانده شده است. اقدامی که ثابت می‌کند این هک با هدف برهم زدن امنیت افکار عمومی در روزهای جنگ انجام شده بود. سابقه گروه هکری «گنجشک درنده» در حمله راه‌آهن، سامانه سوخت، شرکت‌های فولادی و بانک‌ها هم مهر تاییدی بر این ادعاست. نوبیتکس با بیش از ۱۱ میلیون کاربر، طعمه خوبی برای برهم زدن آرامش روانی جامعه به نظر می‌رسید. 

پس از حمله

بررسی داده‌های موجود در شبکه بلاکچین نشان می‌دهد اولین واکنش نوبیتکس بعد از وقوع حادثه امنیتی، امن‌سازی دارایی و تخلیه کیف‌پول‌های گرم بوده است. در عین حال عمده دارایی تحت مدیریت این پلتفرم در کیف‌پول‌های سرد نگهداری می‌شود که قابل نفوذ نیستند و به همین دلیل از حمله مصون ماندند. بااین‌حال شهروندان تا چند روز به دارایی خود دسترسی نداشتند و در این شرایط نوبیتکس در گام دوم، برای بازگشت تدریجی برنامه‌ریزی کرد که این موضوع هم در قالب اطلاعیه‌ای رسمی توضیح داده شد. استراتژی گام به گام، این فرصت را به تیم‌های فنی داد که زیرساخت‌های نوبیتکس را به صورت لایه‌به‌لایه از نو بسازند و امن‌سازی کنند. این تصمیم در عین حال به مدیریت هیجان کاربران هم کمک کرد. بر اساس اعلام مدیر عامل نوبیتکس، «در این فرآیند کل معماری زیرساختی نوبیتکس بازطراحی شده است و این ریسکِ آسیب مجدد را به حداقل می‌رساند.» بر پایه اظهارات مدیران نوبیتکس، یکی از اقدامات فوری این تیم جمع‌آوری سرورها از مراکز دیتاسنتر و بررسی همه موارد امنیتی برای پیدا کردن رد پای نفوذ بود. علی‌رغم آسیب‌هایی که به اطلاعات ذخیره‌شده وارد شده بود، نوبیتکس وارد مرحله بازیابی شد و عملاً کمتر از یک هفته بعد از هک، سایت نوبیتکس دوباره در دسترس کاربران قرار گرفت. در این مرحله از کاربران خواسته شد رمز عبور خود را بازیابی کنند و بعد موجودی کیف‌پول کاربران به آنها نمایش داده شد. نوبت بعدی امکان واریز و برداشت فعال شد و کمتر از دو هفته بعد از هک، شاهد فعالیت بازارهای نوبیتکس بودیم. 

آیا احتمال هک مجدد وجود دارد؟ 

این یک واقعیت است که هیچ سامانه یا شرکتی که با اینترنت سروکار دارد نمی‌تواند با قطعیت بگوید که به هیچ وجه قابل نفوذ و هک نیست. به عبارت دیگر امنیت سایبری یک فرایند پویا و دائماً در حال تکامل است، نه یک وضعیت قطعی و تغییرناپذیر. با این حال اینطور که نوبیتکس در گزارش‌های رسمی اعلام کرده، بعد از بازگشت سعی کرده معماری امنیتی و زیرساختی خود را به طور چند لایه و حوزه‌بندی شده بازطراحی کند تا در صورت بروز اتفاق مشابه در آینده، دامنه کوچک‌تر و با عمق کمتری آسیب ببیند. ضمن اینکه طبق اعلام روابط‌عمومی نوبیتکس، استانداردهای امنیتی این پلتفرم هم به روزرسانی شده تا احتمال بروز مشکل مشابه را به حداقل برساند.